数字证书简介及使用

OpenSSL Heartbleed
一、导入及案例
Mozilla封杀沃通和StartSSL证书风波
Mozilla 基金会2016年10月22日对沃通(WoSign)及被其秘密收购的 StartCom(著名的 StartSSL 即其旗下产品)这两个 CA 一年内新签发的所有 SSL 证书进行封杀。Mozilla 的工程 师是在对这两个 CA 签发了一系列可疑的 SSL SHA-1 证书进行调查之后（调查报告），宣布 了这个禁令。Mozilla 列举了沃通存在的诸多问题： 1.StartCom 允许证书倒填日期 2. 沃通秘密收购了 StartCom 3. 只要认证子域名就可以签发根域名证书 4. 允许任意端口验证 5. 签发了 392 个相同序列号的证书 谷歌(Google)已于10月31日在博客中宣布从Chrome 56版本开始不再信任WoSign 在10月 21日以后签发的SSL证书，在此日期之前签发的证书会(may)继续信任，但不能保证所有证书 都会被信任。 苹果(Apple)已决定从12月1日起不再信任WoSign根证书签发的SSL证书。为此，沃通 (WoSign)决定不再在 数字证书商店 销售WoSign根证书下签发的各种SSL证书，但不排除为某 些有需求的用户仍然从WoSign根证书下签发SSL证书。
三、数字证书获取
Java keytool生成证书： 1. 生成keystore证书；
keytool -genkey -alias tomcat -keyalg RSA -keysize 2048 -validity 3650 -keystore
tomcat.keystore
2. 导出crt证书；
3. 查看证书信息。
三、数字证书获取
Java keytool生成证书： 1. 生成keystore证书；
2. 导出crt证书；
3. 查看证书信息。
详细操作查看《Java中Keytool的使用总结》 链接：http://f3e6036a.fromwiz.com/share/s/3PVwdG26_Q-V2N1efb2Swew83XmaFI2jT4mB2hNmve2ZUJKK 密码：1p7u
你有没有碰见这些状况
一、导入及案例
来自OpenSSL的紧急安全警告(CVE-2014-0160)： OpenSSL出现“Heartbleed”安全漏洞。这一漏洞让任何人 都能读取系统的运行内存，全球三分之二的网站的服务器 都处于危险之中。该漏洞在互联网又称为“heartbleed bug”， 中文名称叫做“心脏出血”、““击穿心脏””等。 Heartbleed漏洞是由安全公司Codenomicon和谷歌安全 工程师发现的，并提交给相关管理机构，随后官方很快发布了漏洞的 修复方案。2014年4月7号，程序员Sean Cassidy则在自己的博客 上详细描述了这个漏洞的机制。
培训大纲
一、导入及案例
二、数字证书概念
三、数字证书获取 四、数字证书应用
二、数字证书概念
什么是数字证书？ 数字证书就是互联网通讯中标志通讯各方身份信息的一串数 字，提供了一种在Internet上验证通信实体身份的方式，数字 证书不是数字身份证，而是身份认证机构盖在数字身份证上的 一个章或印（或者说加在数字身份证上的一个签名）。它是由 权威机构——CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身 份。
二、数字证书概念
CA认证机构 CA机构，即证书授权中心(Certificate Authority )，或称 证书授权机构，作为受信任的第三方，承担公钥体系中公钥的 合法性检验的责任。CA中心在安全责任分散、运行安全管理、 系统安全、物理安全、数据库安全、人员安全、密钥管理等方 面，需要十分严格的政策和规程，要有完善的安全机制。 全球知名的服务器证书品牌有GlobalSign、Verisign、 Thawte、Geotrust等
2. 个人生成：采用工具生成证书文件，不被CA机构认可， 浏览器访问会提示不安全。例如：Java keytool、 OpenSSL等。
注：身份验证级别： DV SSL(只验证Email)、OV SSL(验证Email、验证单位身份验证文件、第三方数据库核实 )、EV SSL(全球统一标准的扩展验证标准，验证Email、验证单位身份证明文件、验证申请人身份证明文件、第 三方数据库核实)。
三、数字证书获取
OpenSSL生成证书： 1. 制作根证书；
2. 制作server服务器端证书；
2. 导出crt证书；
keytool -export -alias tomcat -keystore tomcat.keystore -file tomcat.crt -storepass 123456
3. 查看证书信息。
详细操作查看《Java中Keytool的使用总结》 链接：http://f3e6036a.fromwiz.com/share/s/3PVwdG26_Q-V2N1efb2Swew83XmaFI2jT4mB2hNmve2ZUJKK 密码：1p7u
--摘自《百度百科》
二、数字证书概念
数字证书解决问题: 保密性 - 只有收件人才能阅读信息。 认证性 - 确认信息发送者的身份。 完整性 - 信息在传递过程中不会被篡改。 不可抵赖性 - 发送者不能否认已发送的信息。 数字证书分类: 服务器证书：密码登录、订单处理、网上银行交易等 电子邮件证书：加密邮件，证明电子邮件发件人的真实性 个人证书：身份验证和电子签名，usbkey
--摘自《百度百科》
二、数字证书概念
客户端与服务器交互过程（RSA密钥交换）
二、数字证书概念
客户端与服务器交互过程（DH迪菲－赫尔曼密钥交换）
培训大纲
一、导入及案例
二、数字证书概念
三、数字证书获取 四、数字证书应用
三、数字证书获取
数字证书获取方式： 1. CA机构申请：需要到相应机构提交相关材料申请证书， 证书分为 域名型证书(DV SSL)、企业型证书(OV SSL) 、增强型证书(EV SSL)，根据申请证书安全级别越高， 提交申请的材料要求越严格，价格也越贵。例如： GlobalSign、Verisign、WoSign、Let’s Encrypt等
百度文库训目标
学员在参加完本次培训后，能够：
A
描述数字证书的基本原理，数字证书的作用等 制作生成一个数字证书 完成在服务器端部署数字证书，启用HTTPS访问，并在浏 览器能够成功访问
B
C
培训大纲
一、导入及案例
二、数字证书概念
三、数字证书获取 四、数字证书应用
一、导入及案例
你有用过数字证书吗？
一、导入及案例
三、数字证书获取
Let’s Encrypt获取证书（Redhat 6.2为例）： 1. yum库设置，启用163和epel库；
2. 防火墙开放80、443端口；
3. 执行certbot-auto获取Let's Encrypt证书； 4. 证书有效期3个月，在有效期内执行更新。
详细操作查看《Let's Encrypt证书使用》 链接：http://f3e6036a.fromwiz.com/share/s/3PVwdG26_Q-V2N1efb2Swew82MMHKN0qA4J52wCIuG2o1cRY 密码：tl28
三、数字证书获取
Let’s Encrypt获取证书（Redhat 6.2为例）： 1. yum库设置，启用163和epel库；
2. 防火墙开放80、443端口；
3. 执行certbot-auto获取Let's Encrypt证书； 4. 证书有效期3个月，在有效期内执行更新。
详细操作查看《Let's Encrypt证书使用》 链接：http://f3e6036a.fromwiz.com/share/s/3PVwdG26_Q-V2N1efb2Swew82MMHKN0qA4J52wCIuG2o1cRY 密码：tl28
详细操作查看《Java中Keytool的使用总结》 链接：http://f3e6036a.fromwiz.com/share/s/3PVwdG26_Q-V2N1efb2Swew83XmaFI2jT4mB2hNmve2ZUJKK 密码：1p7u
三、数字证书获取
Java keytool生成证书： 1. 生成keystore证书；
三、数字证书获取
OpenSSL生成证书： 1. 制作根证书；
2. 制作server服务器端证书；
3. 制作client客户端证书; 4. 证书类型介绍。
详细操作查看《使用openssl生成证书》 链接：http://f3e6036a.fromwiz.com/share/s/3PVwdG26_Q-V2N1efb2Swew82NhDId32jQEu2APFKi3IsMXP 密码：46fn
三、数字证书获取
Java keytool生成证书： 1. 生成keystore证书；
2. 导出crt证书；
3. 查看证书信息。
keytool -list -v -keystore tomcat.keystore -storepass 123456
详细操作查看《Java中Keytool的使用总结》 链接：http://f3e6036a.fromwiz.com/share/s/3PVwdG26_Q-V2N1efb2Swew83XmaFI2jT4mB2hNmve2ZUJKK 密码：1p7u
三、数字证书获取
Let’s Encrypt获取证书（Redhat 6.2为例）： 1. yum库设置，启用163和epel库；
2. 防火墙开放80、443端口；
3. 执行certbot-auto获取Let's Encrypt证书； 4. 证书有效期3个月，在有效期内执行更新。
详细操作查看《Let's Encrypt证书使用》 链接：http://f3e6036a.fromwiz.com/share/s/3PVwdG26_Q-V2N1efb2Swew82MMHKN0qA4J52wCIuG2o1cRY 密码：tl28
三、数字证书获取
Let’s Encrypt获取证书（Redhat 6.2为例）： 1. yum库设置，启用163和epel库；
2. 防火墙开放80、443端口；
3. 执行certbot-auto获取Let's Encrypt证书； 4. 证书有效期3个月，在有效期内执行更新。
详细操作查看《Let's Encrypt证书使用》 链接：http://f3e6036a.fromwiz.com/share/s/3PVwdG26_Q-V2N1efb2Swew82MMHKN0qA4J52wCIuG2o1cRY 密码：tl28
数字证书简介及使用
课程简介
培训主题：数字证书简介及使用 培训对象：项目经理、开发人员、技术支持人员
培训课时：2
培训方式：讲解／自学 + 练习 本课程提供要件包括：1、PPT培训材料；2、Java中Keytool 的使用总结；3、Let's Encrypt证书使用；4、使用openssl生 成证书。
三、数字证书获取
OpenSSL生成证书： 1. 制作根证书；
2. 制作server服务器端证书；
3. 制作client客户端证书; 4. 证书类型介绍。
详细操作查看《使用openssl生成证书》 链接：http://f3e6036a.fromwiz.com/share/s/3PVwdG26_Q-V2N1efb2Swew82NhDId32jQEu2APFKi3IsMXP 密码：46fn
三、数字证书获取
Let’s Encrypt获取证书（Redhat 6.2为例）： 1. yum库设置，启用163和epel库；
2. 防火墙开放80、443端口；
3. 执行certbot-auto获取Let's Encrypt证书； 4. 证书有效期3个月，在有效期内执行更新。
详细操作查看《Let's Encrypt证书使用》 链接：http://f3e6036a.fromwiz.com/share/s/3PVwdG26_Q-V2N1efb2Swew82MMHKN0qA4J52wCIuG2o1cRY 密码：tl28